Citrix Gateway

安装前清单

清单包括在安装 Citrix Gateway 之前应完成的任务和计划信息列表。

提供空间,以便您可以在完成任务并做笔记时检查每个任务。Citrix 建议您记下在安装过程中和配置 Citrix Gateway 时需要输入的配置值。

有关安装和配置 Citrix Gateway 的步骤,请参阅安装 Citrix Gateway

用户设备

  • 确保用户设备满足Citrix Gateway 插件系统要求
  • 识别用户连接的移动设备。注意:如果用户连接到 iOS 设备,则需要在会话配置文件中启用安全浏览。

Citrix Gateway 基础网络连接

Citrix 建议您在开始配置设备之前获取许可证和签名的服务器证书。

  • 识别并记下 Citrix Gateway 主机名。注意:这不是完全限定的域名 (FQDN)。FQDN 包含在绑定到虚拟服务器的签名服务器证书中。
  • 获取通用许可证,请从Citrix Web 站点
  • 生成证书签名请求 (CSR) 并发送到证书颁发机构 (CA)。输入您将 CSR 发送到 CA 的日期。
  • 记下系统 IP 地址和子网掩码。
  • 记下子网 IP 地址和子网掩码。
  • 记下管理员密码。Citrix Gateway 附带的默认密码为 nsroot。
  • 记下端口号。这是 Citrix Gateway 侦听安全用户连接的端口。默认值为 TCP 端口 443。此端口必须在不安全的网络(Internet)和 DMZ 之间的防火墙上打开。
  • 记下默认网关 IP 地址。
  • 记下 DNS 服务器 IP 地址和端口号。默认端口号为 53。此外,如果要直接添加 DNS 服务器,则还必须在设备上配置 ICMP (ping)。
  • 记下第一个虚拟服务器 IP 地址和主机名。
  • 记下第二个虚拟服务器 IP 地址和主机名(如果适用)。
  • 记下 WINS 服务器 IP 地址(如果适用)。

可通过 Citrix Gateway 访问的内部网络

  • 记下用户可以通过 Citrix Gateway 访问的内部网络。例如:10.10.0.0/24
  • 输入用户使用 Citrix Gateway 插件通过 Citrix Gateway 连接时需要访问的所有内部网络和网络段。

高可用性

如果您有两个 Citrix Gateway 设备,则可以在高可用性配置中部署这些设备,其中一个 Citrix Gateway 接受和管理连接,而另一个 Citrix Gateway 则监视第一个设备。如果第一个 Citrix Gateway 出于任何原因停止接受连接,则第二个 Citrix Gateway 将接管并开始主动接受连接。

  • 记下 Citrix Gateway 软件版本号。
  • 两个 Citrix Gateway 设备上的版本号必须相同。
  • 记下管理员密码(nsroot)。两台设备上的密码必须相同。
  • 记下主 Citrix Gateway IP 地址和 ID。最大身份证号码为 64。
  • 记下辅助 Citrix Gateway IP 地址和 ID。
  • 获取并在两台设备上安装通用许可证。
  • 必须在两台设备上安装相同的通用许可证。
  • 记下 RPC 节点密码。

身份验证和授权

Citrix Gateway 支持多种不同的身份验证和授权类型,这些类型可以用于各种组合。有关身份验证和授权的详细信息,请参阅身份验证和授权

LDAP 身份验证

如果您的环境包含 LDAP 服务器,则可以使用 LDAP 进行身份验证。

  • 记下 LDAP 服务器 IP 地址和端口。

    如果允许与 LDAP 服务器不安全的连接,则默认为端口 389。如果使用 SSL 加密到 LDAP 服务器的连接,则默认为端口 636。

  • 记下安全类型。

    您可以使用或不使用加密来配置安全性。

  • 记下管理员绑定 DN。

    如果 LDAP 服务器需要身份验证,请输入 Citrix Gateway 在查询 LDAP 目录时应使用的管理员 DN。示例为 cn=administrator,cn=Users,dc=ace, dc=com。

  • 记下管理员密码。

    这是与管理员绑定 DN 关联的密码。

  • 写下基本 DN。

    用户所在的 DN(或目录级别);例如,用户 = 用户、dc=ace、dc=com。

  • 记下服务器登录名属性。

    输入指定用户登录名的 LDAP 目录人员对象属性。默认值为“sAMAccountName”。如果您不使用 Active Directory,则此设置的常见值为 cn 或 uid。有 关 LDAP 目录设置的详细信息,请参阅 配置 LDAP 身份验证

  • 记下组属性。 输入 LDAP 目录人员对象属性,该属性指定用户所属的组。默认值为“memberOf”。此属性使 Citrix Gateway 能够标识用户所属的目录组。
  • 记下子属性名称。

RADIUS 身份验证和授权

如果您的环境包含 RADIUS 服务器,则可以使用 RADIUS 进行身份验证。 RADIUS 身份验证包括 RSA SecurID、SafeWord 和 Gemalto Protiva 产品。

  • 记下主 RADIUS 服务器 IP 地址和端口。默认端口是 1812。
  • 记下主 RADIUS 服务器密钥(共享密钥)。
  • 记下辅助 RADIUS 服务器 IP 地址和端口。默认端口是 1812。
  • 记下辅助 RADIUS 服务器密钥(共享密钥)。
  • 记下密码编码的类型(PAP、CHAP、MS-CHAP v1、MSCHAP v2)。

SAML 身份验证

安全断言标记语言 (SAML) 是一种基于 XML 的标准,用于在身份提供商 (IdP) 和服务提供商之间交换身份验证和授权。

  • 获取并在 Citrix Gateway 上安装安全 IdP 证书。
  • 记下重定向 URL。
  • 记下用户字段。
  • 记下签名证书名称。
  • 记下 SAML 颁发者名称。
  • 记下默认身份验证组。

通过防火墙打开端口(单跳 DMZ)

如果您的组织使用单个 DMZ 保护内部网络,并在 DMZ 中部署 Citrix Gateway,请通过防火墙打开以下端口。如果要在双跃点 DMZ 部署中安装两个 Citrix Gateway 设备,请参阅打开防火墙上的适当端口

在不安全网络和 DMZ 之间的防火墙上

  • 在 Internet 和 Citrix Gateway 之间的防火墙上打开 TCP/SSL 端口(默认 443)。用户设备连接到此端口上的 Citrix Gateway。

在安全网络之间的防火墙上

  • 在 DMZ 和安全网络之间的防火墙上打开一个或多个适当的端口。Citrix Gateway 连接到一个或多个身份验证服务器或连接到这些端口上的安全网络中运行 Citrix Virtual Apps and Desktops 的计算机。
  • 记下身份验证端口。

    仅打开适合您的 Citrix Gateway 配置的端口。

    • 对于 LDAP 连接,默认为 TCP 端口 389。
    • 对于 RADIUS 连接,默认为 UDP 端口 1812。记下 Citrix Virtual Apps and Desktops 端口。
  • 如果将 Citrix Gateway 与 Citrix Virtual Apps and Desktops 结合使用,请打开 TCP 端口 1494。如果启用会话可靠性,请打开 TCP 端口 2598 而不是 1494。Citrix 建议将这两个端口保持打开状态。

Citrix Virtual Desktops、Citrix Virtual Apps、Web Interface 或 StoreFront

如果要部署 Citrix Gateway 以通过 Web Interface 或 StoreFront 提供对 Citrix Virtual Apps and Desktops 的访问,请完成以下任务。此部署不需要 Citrix Gateway 插件。用户仅通过使用 Web 浏览器和 Citrix Receiver,通过 Citrix Gateway 访问已发布的应用程序和桌面。

  • 记下运行 Web Interface 或 StoreFront 的服务器的 FQDN 或 IP 地址。
  • 记下运行安全票证机构 (STA) 的服务器的 FQDN 或 IP 地址(仅适用于 Web Interface )。

Citrix Endpoint Management

如果在内部网络中部署 Citrix Endpoint Management,请完成以下任务。如果用户从外部网络(如 Internet)连接到 Endpoint Management,则用户必须先连接到 Citrix Gateway,然后才能访问移动、Web 和 SaaS 应用。

  • 记下 Endpoint Management 的 FQDN 或 IP 地址。
  • 识别用户可以访问的 Web、SaaS 和移动 iOS 或 Android 应用程序。

使用 Citrix Virtual Apps 进行双跃点 DMZ 部署

如果要在双跃点 DMZ 配置中部署两个 Citrix Gateway 设备,以支持对运行 Citrix Virtual Apps 的服务器的访问,请完成以下任务。

第一个 DMZ 中的 Citrix Gateway

第一个 DMZ 是位于内部网络最外边缘(最接近 Internet 或不安全的网络)的 DMZ。客户端通过将 Internet 与 DMZ 分开的防火墙连接到第一个 DMZ 中的 Citrix Gateway。在第一个 DMZ 中安装 Citrix Gateway 之前,请收集此信息。

  • 完成此 Citrix Gateway 清单的 Citrix Gateway 基本网络连接部分中的项目。

    完成这些项目时,请注意,接口 0 将此 Citrix Gateway 连接到 Internet,接口 1 将此 Citrix Gateway 连接到第二个 DMZ 中的 Citrix Gateway。

  • 在主设备上配置第二个 DMZ 设备信息。

    要将 Citrix Gateway 配置为双跃点 DMZ 中的第一个跃点,必须在第一个 DMZ 中的设备上的第二个 DMZ 中指定 Citrix Gateway 的主机名或 IP 地址。指定在第一个跃点中的设备上配置 Citrix Gateway 代理后,请将其全局绑定到 Citrix Gateway 或虚拟服务器。

  • 记下设备之间的连接协议和端口。

    要将 Citrix Gateway 配置为双 DMZ 中的第一个跃点,必须指定第二个 DMZ 中 Citrix Gateway 侦听连接的连接协议和端口。连接协议和端口是带 SSL 的 SOCKS(默认端口 443)。协议和端口必须通过分隔第一个 DMZ 和第二个 DMZ 的防火墙打开。

第二个 DMZ 中的 Citrix Gateway

第二个 DMZ 是最接近内部安全网络的 DMZ。部署在第二个 DMZ 中的 Citrix Gateway 用作 ICA 流量的代理,在外部用户设备和内部网络上的服务器之间遍历第二个 DMZ。

  • 完成此 Citrix Gateway 清单的 Citrix Gateway 基本网络连接部分中的任务。

    完成这些项目时,请注意,接口 0 将此 Citrix Gateway 连接到第一个 DMZ 中的 Citrix Gateway。接口 1 将此 Citrix Gateway 连接到安全网络。